Just nu i M3-nätverket
Jump to content

försöker få bort en trojan men funkar inget bra


THR

Recommended Posts

jag har fått nåt skitsida som heter about:blank. Har kört adaware och avg fler gånger men inget funkar. Jag tror att jag har tagit bort nåt jag inte skulle ha gjort. Jag har letat på internet över sidor där det står hur man ska ta bort sånt skit. Inget funkar! Går jag in på kontrollpanelen, lägg till/ta bort program, så finns det ett program där som heter Search assistant uninstall. När jag försöker ta bort den så går det inte..och så fort jag öppnar internet explorer så först får jag upp en search sida, och sen ett meddelande om att min dator har en trojan horse som man kan deleta. När jag deletar den så försvinner inte den...

Skulle nån vilja hjälpa mig och peka ut det jag ska ta bort? Och gärna beskriva hur jag går tillväga...

 

Så här ser det ut.

 

Logfile of HijackThis v1.99.1

Scan saved at 22:22:33, on 04/18/2005

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\TRIDTRAY.EXE

C:\MOUSE\SYSTEM\EM_EXEC.EXE

C:\PROGRAM\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE

C:\PROGRAM\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\SV\MSNAPPAU.EXE

C:\PROGRAM\GRISOFT\AVG FREE\AVGCC.EXE

C:\PROGRAM\GRISOFT\AVG FREE\AVGEMC.EXE

C:\PROGRAM\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\INTEL\INTEL PSNCU\CPUNUMBER.EXE

C:\PROGRAM\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PROGRAM\SCANSOFT\PAPERPORT\POPUP\SMARTUI.EXE

C:\PROGRAM\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE

C:\PROGRAM\NETROPA\MULTIMEDIA KEYBOARD\MMUSBKB2.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE

C:\PROGRAM\SCANSOFT\PAPERPORT\PPLINKS.EXE

C:\PROGRAM\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\SV\MSNTB.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {5DBC62A1-B011-11D9-8782-0010220A6D9D} - C:\WINDOWS\SYSTEM\NLOA.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\SV\MSNTB.DLL

O4 - HKLM\..\Run: [scanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [TridTray] c:\windows\SYSTEM\tridtray.exe

O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe

O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program\Netropa\Multimedia Keyboard\MMKeybd.exe /launchpad

O4 - HKLM\..\Run: [Onscreen Display] C:\Program\Netropa\Onscreen Display\OSD.exe

O4 - HKLM\..\Run: [indexSearch] c:\Program\Scansoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe"

O4 - HKLM\..\Run: [brmfRmPA.exe] C:\WINDOWS\BrmfRmPA.exe -startup

O4 - HKLM\..\Run: [setDefPrt] C:\Program\Brother\Brmfl03a\BrStDvPt.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRAM\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRAM\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRAM\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\Run: [spySpotter] C:\PROGRAM\SPYSPOTTER\SpySpotter.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [iCSDCLT] c:\windows\rundll32.exe c:\windows\SYSTEM\icsdclt.dll,ICSClient

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [sSDPSRV] c:\windows\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunOnce: [delcab] C:\drivers\deltreew.exe C:\cabs

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program\Microsoft Money\System\Money Express.exe"

O4 - HKCU\..\Run: [intelProcNumUtility] "C:\Intel\Intel PSNCU\CpuNumber.exe" /nosplash

O4 - HKCU\..\Run: [MsnMsgr] "c:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Brother SmartUI PopUp.lnk = C:\Program\Scansoft\PaperPort\PopUp\SmartUI.exe

O4 - Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Startup: Image Transfer.lnk = C:\Program\Sony Corporation\Image Transfer\SonyTray.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://c:\PROGRAM\MICROS~3\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O12 - Plugin for .mts: C:\Program\MetaCreations\MetaStream\npmetastream.dll

O12 - Plugin for .mov: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (IPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O18 - Filter: text/html - {094E6F77-B039-11D9-8782-001014E2ECF4} - C:\WINDOWS\SYSTEM\NLOA.DLL

O18 - Filter: text/plain - {094E6F77-B039-11D9-8782-001014E2ECF4} - C:\WINDOWS\SYSTEM\NLOA.DLL

 

Tacksam för hjälpen!!

 

Link to comment
Share on other sites

Innan du börjar, sätt HJT i en PERMANENT MAPP

Alltså, C:\HJT\hijackthis.exe, mer info nedan

Innan du startar, kan du spara tid genom att köra följade spyware program.

 

Kör CWShredder:

CWShredder är det första att köra. Detta varför: Om en CoolWebSearch variant körs på din dator kan det vara så att den inte tillåter några spyware scans. Det är smart nog att köra det, kolla först om den hittar något och sedan scanna med andra program. Ladda ner CWShredder till skrivbordet eller annat ställe. Stäng alla internet fönsterm dubbelklicka CWShredder ikonen att starta, kolla updates först och klicka senan Fix -> knappen. När den är klar, starta om och kör resterande program.

http://cwshredder.net/bin/CWShredder.exe

 

 

Kör Ad-Adare

www.lavasoft.com

 

Kör spybot S&D-

http://www.safer-networking.org/index.php?page=download

 

Kör ett antivirus program med senaste update, om du inte har så kan du köra en online scanner, t.ex Trendmicro

 

Före du ändrar någonting i Hijack This!

 

1) Det är viktigt att skapa en permanent mapp för det t.ex C:\HJT. Detta är nödvändigt eftersom HJT skapar backups som du kan återställa när någonting har gått fel.

 

2) Kör HijackThis och klicka på "Config". Kolla så att den ä satt till att spara backups.

 

 

Note: Kolla så att alla windows fönster (t.ex Internet Explorer) är stängda innan du klickar på Fix Selected" annars så kan det vara så att HijackThis inte kan ta bort några filer.

 

 

Scanna datorn med denna scanner

 

http://www.spywareinfo.dk/download/mwav.exe

 

Dubbelklicka på mwav.exe sen klicka Unzip och den skapar automatiskt en ny mapp C:\Kapersky

Sen öppna Kapersky mappen och dubbelklicka på kavupd.exe och leta uppdateringar.

När den är klar så tryck på nån tangent och det blir automatiskt 2 nya mappar på C:\

 

C:\Bases

C:\Downloads

 

Öppna Downloads mappen och måla alla filer och Klipp ut

Klicka på Kapersky mappen och klistra in och svara ja till alla.

Sen öppna Kapersky mappen och dubbelklicka på mwavscan.com

Bocka i Drive och Scan All Files.

Sen klicka på Scan och låt den scanna klart.(kan ta upp till 2 timmar)

Kopiera det som blir i nedre fönster.

Först måla svart sen Ctrl+C (kopiera)

Sen Ctrl+V (klista in)

 

Skicka hit loggen från scannen,alltså allt som kommer i nedre fönster. Sätt den helst i [ LOG ] , [ /LOG]

 

När allt är gjort kan du ta bort följande:

 

[log]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank[/log]

 

 

[inlägget ändrat 2005-04-18 23:01:02 av diGitahL]

Link to comment
Share on other sites

Ladda ner Ad-aware härifrån: http://www.lavasoft.com uppdatera

innan du kör programmet genom att klicka på Check for updates now,

klicka på Start och välj sedan Full System Scan och kör programmet.

 

 

Gör även en online virusscan,det kan du göra härifrån:

http://se.trendmicro-europe.com/index_consumer.php

 

 

 

 

 

 

[inlägget ändrat 2005-04-19 00:16:49 av Brynäsarn]

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...